常见的攻击类型
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Linux操作系统实用教程
常见的攻击类型
常见的攻击方式包括端口扫描、嗅探、种植木马、传播病毒等。 1. 端口扫描 在网络技术中,端口(Port)通常有两种含义,一是物理意义上的端口,即调制解
调器、网络集线器、交换机、路由器中用于连接其他网络设备的接口,如RJ-45 端口、SC端口等;二是逻辑意义上的端口,即指TCP/IP协议中的端口,用于承载 特定的网络服务,其编号的范围为0~65535,例如,用于承载Web服务的是80 端口,用于承载FTP服务的是21端口和20端口等。在网络技术中,每个端口承载 的网络服务是特定的,因此可以根据端口的开放情况来判断当前系统中开启的服 务。
➢ 发现一个主机或网络的能力。 ➢ 发现远程主机后,有获取该主机正在运行的服务的能力。 ➢ 通过测试远程主机上正在运行的服务,发现漏洞的能力。
常见的攻击类型
2. 嗅探 嗅探技术是一种重要的网络安全攻防技术,攻击者可以通过嗅
探技术以非常隐蔽的方式攫取网络中的大量敏感信息,与 主动扫描相比,嗅探更加难以被发觉,也更加容易操作和 实现。对于网络管理员来说,借助嗅探技术可以对网络活 动进行实时监控,发现网络中的各种攻击行为。 嗅探操作的成功实施是因为以太网的共享式特性决定的。由于 以太网是基于广播方式传输数据的,所有的物理信号都会 被传送到每一个网络主机结点,而且以太网中的主机网卡 允许设置成混杂接收模式,在这种模式下,无论监听到的 数据帧的目的地址如何,网卡都可以予以接收。更重要的 是,在TCP/IP协议栈中网络信息的传递大多是以明文传输的, 这些信息中往往包含了大量的敏感信息,比如邮箱、FTP或 telnet的账号和口令等,因此使用嗅探的方法可以获取这些 敏感信息。
常见的攻击类型
1)蠕虫(worm)病毒 1988年Morris蠕虫爆发后,Eugene H. Spafford给出了蠕虫的
定义:“计算机蠕虫可以独立运行,并能把自身的一个包含 所有功能的版本传播到另外的计算机上”。和其他种类的病 毒相比,在Linux平台下最为猖獗的就是蠕虫病毒,如利用 系统漏洞进行传播的ramen、lion、Slapper等,都曾给Linu x系统用户造成了巨大的损失。随着Linux系统应用越广泛, 蠕虫的传播程度和破坏能力也会随之增加。 2)可执行文件型病毒 可执行文件型病毒是指能够感染可执行文件的病毒,如Lindos e。这种病毒大部分都只是企图以感染其他主机程序的方式 进行自我复制。
处于网络中的主机,如果发现网络出现了数据包丢失率很高或 网络带宽长期被网络中的某台主机占用,就应该怀疑网络 中是否存在嗅探器。
3. 木马 木马又称特洛伊木马,是一种恶意计算机程序,长期驻留在目
标计算机中,可以随系统启动并且秘密开放一个甚至多个 数据传输通道的远程控制程序。木马程序一般由客户端(Cli ent)和服务器端(Server)两部分组成,客户端也称为控制端, 一般位于入侵者计算机中,服务器端则一般位于用户计算 机中。木马本身不带伤害性,也没有感染能力,所以木马 不是病毒。
入侵者一般使用木马来监视监视被入侵者或盗取被入侵者的密 码、敏感数据等。
4. 病毒 虽然Linux系统的病毒并不像Windows系统那样数量繁多,但
是威胁Linux平台的病毒同样存在,如Klez、Lion.worm、M orris.worm、Slapper、Scalper、Linux.Svat和BoxPoison病 毒等。Linux下的病毒可以如下分类:
常见的攻击类型
3)脚本病毒 目前出现比较多的是使用shell脚本语言编写的病毒。此类病毒
编写较为简单,但是破坏力同样惊人。而一个十数行的shel l脚本就可以在短时间内遍历整个硬盘中的所有脚本文件, 并进行感染。且此类病毒还具有编写简单的特点。 4) 后门程序 后门程序一般是指那些绕过安全性控制而获取程序或系统访问 权的程序。在广义的病毒定义概念中,后门也已经纳入了 病毒的范畴。从增加系统超级用户账号的简单后门,到利 用系统服务加载,共享库文件注册,rootkit工具包,甚至 装载内核模块(LKM),Linux平台下的后门技术发展非常 成熟,其隐蔽性强,难以清除。
Linux操Βιβλιοθήκη 系统实用教程常见的攻击类型
扫描器就是通过依次试探远程主机TCP端口,获取目标主机的响应,并记录目标主 机的响应。根据这些响应的信息可以搜集到很多关于目标主机的有用信息,包括 该主机是否支持匿名登录以及提供某种服务的软件包的版本等。这些信息可以直 接或间接地帮助攻击者了解目标主机可能存在的安全问题。
端口扫描器并不是一个直接攻击网络漏洞的程序,但是它能够帮助攻击者发现目标 主机的某些内在安全问题。目前常用的端口扫描技术有TCP connect扫描、TCP SYN扫描、TCP FIN扫描、IP段扫描、TCP反向ident扫描以及TCP返回攻击等。通 常扫描器应该具备如下的3项功能:
常见的攻击类型
嗅探器最初是作为网络管理员检测网络通信的工具出现的,它 既可以是软件的,也可以是硬件设备。软件嗅探器使用方 便,可以针对不同的操作系统使用不同的软件嗅探器,而 且很多软件嗅探器都是免费的。常用的嗅探器有Tcpdump/ Windump、Sniffit、Ettercap和Snarp等。
常见的攻击类型
木马通常具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马 的设计者为了防止木马被发现,会采用多种手段隐藏木马, 这样服务端计算机即使发现感染了木马,也不能确定其具 体位置。所谓非授权性是指一旦客户端与服务端连接后, 客户端将享有服务端的大部分操作权限,包括修改文件、 修改注册表、控制鼠标、键盘等,这些权力并不是服务端 赋予的,而是通过木马程序窃取的。
常见的攻击类型
常见的攻击方式包括端口扫描、嗅探、种植木马、传播病毒等。 1. 端口扫描 在网络技术中,端口(Port)通常有两种含义,一是物理意义上的端口,即调制解
调器、网络集线器、交换机、路由器中用于连接其他网络设备的接口,如RJ-45 端口、SC端口等;二是逻辑意义上的端口,即指TCP/IP协议中的端口,用于承载 特定的网络服务,其编号的范围为0~65535,例如,用于承载Web服务的是80 端口,用于承载FTP服务的是21端口和20端口等。在网络技术中,每个端口承载 的网络服务是特定的,因此可以根据端口的开放情况来判断当前系统中开启的服 务。
➢ 发现一个主机或网络的能力。 ➢ 发现远程主机后,有获取该主机正在运行的服务的能力。 ➢ 通过测试远程主机上正在运行的服务,发现漏洞的能力。
常见的攻击类型
2. 嗅探 嗅探技术是一种重要的网络安全攻防技术,攻击者可以通过嗅
探技术以非常隐蔽的方式攫取网络中的大量敏感信息,与 主动扫描相比,嗅探更加难以被发觉,也更加容易操作和 实现。对于网络管理员来说,借助嗅探技术可以对网络活 动进行实时监控,发现网络中的各种攻击行为。 嗅探操作的成功实施是因为以太网的共享式特性决定的。由于 以太网是基于广播方式传输数据的,所有的物理信号都会 被传送到每一个网络主机结点,而且以太网中的主机网卡 允许设置成混杂接收模式,在这种模式下,无论监听到的 数据帧的目的地址如何,网卡都可以予以接收。更重要的 是,在TCP/IP协议栈中网络信息的传递大多是以明文传输的, 这些信息中往往包含了大量的敏感信息,比如邮箱、FTP或 telnet的账号和口令等,因此使用嗅探的方法可以获取这些 敏感信息。
常见的攻击类型
1)蠕虫(worm)病毒 1988年Morris蠕虫爆发后,Eugene H. Spafford给出了蠕虫的
定义:“计算机蠕虫可以独立运行,并能把自身的一个包含 所有功能的版本传播到另外的计算机上”。和其他种类的病 毒相比,在Linux平台下最为猖獗的就是蠕虫病毒,如利用 系统漏洞进行传播的ramen、lion、Slapper等,都曾给Linu x系统用户造成了巨大的损失。随着Linux系统应用越广泛, 蠕虫的传播程度和破坏能力也会随之增加。 2)可执行文件型病毒 可执行文件型病毒是指能够感染可执行文件的病毒,如Lindos e。这种病毒大部分都只是企图以感染其他主机程序的方式 进行自我复制。
处于网络中的主机,如果发现网络出现了数据包丢失率很高或 网络带宽长期被网络中的某台主机占用,就应该怀疑网络 中是否存在嗅探器。
3. 木马 木马又称特洛伊木马,是一种恶意计算机程序,长期驻留在目
标计算机中,可以随系统启动并且秘密开放一个甚至多个 数据传输通道的远程控制程序。木马程序一般由客户端(Cli ent)和服务器端(Server)两部分组成,客户端也称为控制端, 一般位于入侵者计算机中,服务器端则一般位于用户计算 机中。木马本身不带伤害性,也没有感染能力,所以木马 不是病毒。
入侵者一般使用木马来监视监视被入侵者或盗取被入侵者的密 码、敏感数据等。
4. 病毒 虽然Linux系统的病毒并不像Windows系统那样数量繁多,但
是威胁Linux平台的病毒同样存在,如Klez、Lion.worm、M orris.worm、Slapper、Scalper、Linux.Svat和BoxPoison病 毒等。Linux下的病毒可以如下分类:
常见的攻击类型
3)脚本病毒 目前出现比较多的是使用shell脚本语言编写的病毒。此类病毒
编写较为简单,但是破坏力同样惊人。而一个十数行的shel l脚本就可以在短时间内遍历整个硬盘中的所有脚本文件, 并进行感染。且此类病毒还具有编写简单的特点。 4) 后门程序 后门程序一般是指那些绕过安全性控制而获取程序或系统访问 权的程序。在广义的病毒定义概念中,后门也已经纳入了 病毒的范畴。从增加系统超级用户账号的简单后门,到利 用系统服务加载,共享库文件注册,rootkit工具包,甚至 装载内核模块(LKM),Linux平台下的后门技术发展非常 成熟,其隐蔽性强,难以清除。
Linux操Βιβλιοθήκη 系统实用教程常见的攻击类型
扫描器就是通过依次试探远程主机TCP端口,获取目标主机的响应,并记录目标主 机的响应。根据这些响应的信息可以搜集到很多关于目标主机的有用信息,包括 该主机是否支持匿名登录以及提供某种服务的软件包的版本等。这些信息可以直 接或间接地帮助攻击者了解目标主机可能存在的安全问题。
端口扫描器并不是一个直接攻击网络漏洞的程序,但是它能够帮助攻击者发现目标 主机的某些内在安全问题。目前常用的端口扫描技术有TCP connect扫描、TCP SYN扫描、TCP FIN扫描、IP段扫描、TCP反向ident扫描以及TCP返回攻击等。通 常扫描器应该具备如下的3项功能:
常见的攻击类型
嗅探器最初是作为网络管理员检测网络通信的工具出现的,它 既可以是软件的,也可以是硬件设备。软件嗅探器使用方 便,可以针对不同的操作系统使用不同的软件嗅探器,而 且很多软件嗅探器都是免费的。常用的嗅探器有Tcpdump/ Windump、Sniffit、Ettercap和Snarp等。
常见的攻击类型
木马通常具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马 的设计者为了防止木马被发现,会采用多种手段隐藏木马, 这样服务端计算机即使发现感染了木马,也不能确定其具 体位置。所谓非授权性是指一旦客户端与服务端连接后, 客户端将享有服务端的大部分操作权限,包括修改文件、 修改注册表、控制鼠标、键盘等,这些权力并不是服务端 赋予的,而是通过木马程序窃取的。